O que o suposto ataque “Misantropia” à Defesa Civil expõe sobre a fragilidade das credenciais de acesso.
Na madrugada de 20 de junho de 2026, milhões de brasileiros em pelo menos oito estados e no Distrito Federal foram acordados por um alerta extremo (nível mais grave de todos) no celular, com um som de sirene que ignora o modo silencioso e se sobrepõe à tela. A mensagem trazia uma única palavra: “misantropia”. Não havia tempestade, deslizamento ou qualquer emergência real. O sistema Defesa Civil Alerta, operado pelo Ministério da Integração e do Desenvolvimento Regional sobre a plataforma IDAP, havia sido supostamente acionado por alguém de fora do Sistema Nacional de Proteção e Defesa Civil. A plataforma foi tirada do ar por volta da 1h30 para conter os disparos, e a Polícia Federal abriu investigação.
Segundo relato do suposto ator do ataque que se identificou como tal nas redes, não houve exploração de servidor, zero-day ou engenharia social sofisticada. Houve simplesmente login. Ele afirma ter usado credenciais vazadas de servidores, ainda válidas porque ninguém trocou a senha em anos. Em um dos acessos, o de maior alcance, usuário e senha eram o mesmo CPF de onze dígitos, segundo o relato. A única barreira antes do disparo era um “captcha” que pedia o resultado de uma conta simples, do tipo 2+2. Não havia autenticação multifator.
Vale separar o que é fato do que ainda é versão: os disparos indevidos e a retirada do sistema do ar são fato; a invasão por agente externo é a causa apontada oficialmente, mas ainda sob apuração da Polícia Federal. Já o método descrito acima parte das declarações do suposto autor e ainda não foi validado. Ainda assim, é a hipótese central apontada por especialistas e é tecnicamente coerente com o que vemos no mercado há anos.
“Hackers don’t break in, they log in.”
Existe uma frase que circula no mundo cyber há algum tempo: “hackers don’t break in, they log in”. Ela resume uma mudança que os fatos vêm confirmando.
No Verizon DBIR 2025, que analisou mais de 22 mil incidentes, o uso de credenciais comprometidas foi o vetor de acesso inicial em 22% das violações, novamente, o vetor mais comum. Em ataques a aplicações web básicas, 88% envolveram credenciais roubadas. O elemento humano (phishing, erro e uso indevido) apareceu em 60% das violações. E, ao analisar logs de SSO, a equipe do DBIR identificou que o credential stuffing representou 19% de todas as tentativas de autenticação num dia mediano. Quase uma em cada cinco tentativas de login é um atacante testando senha vazada.
A conta fecha quando olhamos a origem dessas senhas. Um estudo sobre mais de 19 bilhões de senhas expostas em vazamentos apontou que 94% eram reutilizadas ou duplicadas. Infostealers despejam credenciais corporativas em fóruns e canais de Telegram diariamente. A senha que vazou no aplicativo de delivery do funcionário é, com frequência, a mesma que abre o sistema crítico.
E o impacto financeiro é direto. O relatório da IBM de 2025 coloca o custo médio global de uma violação em US$ 4,44 milhões. Quando o vetor inicial é credencial comprometida, o tempo para identificar e conter ultrapassa 240 dias, o ciclo mais longo entre todos os vetores. Em outras palavras: o atacante permanece meses dentro do ambiente, autenticado, parecendo um usuário legítimo, antes que alguém perceba.
Por que infraestrutura crítica e setor público tem sido alvo
O caso da Defesa Civil não é uma exceção. É o retrato de problemas que se repetem. A IDAP, segundo informações oficiais citadas pela imprensa, possui mais de 180 instituições cadastradas e cerca de 600 usuários autorizados a disparar alertas. Cada uma dessas credenciais é uma chave capaz de sobrepor a tela de milhões de celulares espalhados pelo país. Quando uma chave dessas usa CPF como senha, nunca expira, não tem segundo fator e não é monitorada contra vazamentos, o sistema corre um risco grave de sofrer um acesso indevido.
A boa notícia, se há uma, é que o vetor mais usado também é um dos mais conhecidos e dos mais corrigíveis.
O que fazer diante desse cenário?
- MFA resistente a phishing, sem exceção no acesso crítico. O caminho maduro são passkeys e padrões FIDO2. MFA por SMS é melhor que nada, mas já é rotineiramente contornado. Para sistemas que podem causar dano em escala, segundo fator não é opcional.
- Eliminar credencial compartilhada, padrão e fraca. CPF, data de nascimento e “nome+1234” não são senha. Identidade individual, política de complexidade, rotação obrigatória e bloqueio automático de senhas já conhecidas em vazamentos.
- Monitorar credenciais vazadas de forma contínua. Inteligência de ameaças de infostealer e dark web cruzada com a sua base de identidades. Se a senha de um usuário está em um dump, você precisa saber antes do atacante usá-la.
- Privilégio mínimo e segmentação da autoridade. Por que uma única conta podia alertar oito estados? Quem pode disparar o quê deve ser granular, aprovado e revisado. Para ações de alto impacto, exija dupla custódia.
- Detecção de anomalia no login, não apenas no perímetro. Horário, local, dispositivo, volume e falhas em sequência. O ataque “parecia um login legítimo”, então o controle precisa estar no comportamento da autenticação, não só na porta de entrada.
- Resposta a incidente que contemple abuso de credencial. Capacidade de revogar sessões, forçar reset em massa e invalidar tokens rapidamente. Tirar a plataforma do ar à 1h30 funcionou aqui, mas é o último recurso, não deveria ser o plano inicial.
- Tratar identidade como o perímetro e como risco de negócio. Higiene de credencial, governança de acesso e gestão de terceiros deixaram de ser assunto restrito de TI. São continuidade operacional e exposição financeira e reputacional.
O “Misantropia” terminou em susto e em uma palavra desconhecida por muitos. Em outros casos, a credencial pode abrir um sistema financeiro, de energia ou de saúde. E a mensagem talvez não seja tão inofensiva. O fato é que o atacante escolhe sempre o caminho mais fácil e o nosso trabalho é garantir que o login deixe de ser esse caminho.
Assine a nossa News e siga o Itshow em nossas redes sociais para ficar por dentro de todas as notícias do setor de TI e Cibersegurança!